Actueel

AVG geen sinecure!

AVG geen sinecure!

Op dit moment doe ik een project voor het Ministerie van JenV waar hard gewerkt wordt om op tijd te voldoen aan de AVG. Inmiddels ben ik er achter dat dit geen sinecure is!

De Algemene Vordering Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) is al in mei 2016 in werking getreden, maar wordt pas in mei 2018 daadwerkelijk van kracht. En inmiddels is bij de meeste organisaties en bedrijven wel doorgedrongen dat het nu echt tijd is om in actie te komen.

De Autoriteit Persoonsgegevens (AP) gaat vanaf dat moment bedrijven op de vingers tikken die niet voldoen aan de AVG. Deze boetes kunnen oplopen tot maximaal 4 procent van de jaaromzet of 20 miljoen euro.

Waar gaat de AVG over?
Worden er persoonsgegevens verwerkt? En zo ja, wat voor gegevens zijn het? Met welk doel worden ze verwerkt? Wat houdt die verwerking in? En waar worden de gegevens bewaard? Elk bedrijf dat persoonsgegevens verwerkt, moet zich houden aan de regels die de AVG voorschrijft.

Belangrijk is dat de AVG zich richt op persoonsgegevens. Dit zijn gegevens die betrekking hebben op een geïdentificeerde  of identificeerbaar natuurlijk persoon. Of een gegeven een persoonsgegeven is hangt af van diverse factoren. In geval van twijfel is het verstandig een gegeven toch als persoonsgegeven te behandelen.

En wat wordt bedoeld met gegevens verwerking? Veel voorkomende verwerkingen zijn; verzamelen, vastleggen, opslaan, wijzigen, opvragen, verstrekken, wissen en vernietigen. Dus eigenlijk alles wat je met een gegeven kan doen.

Waaraan moet je voldoen?

De komst van de AVG betekent dat praktisch elke organisatie een aantal zaken moet regelen:

  • Elke organisatie zal zijn privacyverklaring moeten herzien. Deze moet onder de AVG niet alleen meer gedetailleerde informatie bevatten, maar ook in begrijpelijke taal zijn geschreven.
    Zo moet bijvoorbeeld in deze verklaring opgenomen worden hoe lang cv’s van afgewezen kandidaten bewaard worden en hoe hiervoor toestemming gevraagd wordt bij de betreffende kandidaat.
  • Een Privacy Impact Assessment is een voorafgaand onderzoek naar de privacy-effecten van een project zoals een nieuw ICT systeem voor bijvoorbeeld klantinformatie. Een PIA is verplicht wanneer het project hoge risico’s voor de privacy van betrokken personen oplevert. Ook het op grote schaal combineren van bestanden (zoals bij big data analyses) vereist een PIA.
  • Met de AVG hebben organisaties een documentatieplicht, tenzij ze minder dan 250 personen in dienst hebben en hun gegevensverwerking geen risico oplevert voor de rechten en vrijheden van de betrokkenen. Wie wel aan de documentatieplicht voldoet, moet alle soorten verwerkingen vastleggen, zoals die voor klanten, personeel, camerasystemen, debiteuren en crediteuren.
  • Daarnaast zijn met name overheidsinstanties en publieke organisaties verplicht een functionaris gegevensbescherming aan te stellen. Maar dit geldt ook voor organisaties die op grote schaal individuen volgen of bijzondere persoonsgegevens verwerken.
  • De meldplicht datalekken, die ook in de AVG is opgenomen, verplicht dat elk ernstig lek binnen 72 uur na ontdekking gemeld wordt aan de AP. Betrokkenen waarvan gegevens zijn gelekt, hoeven niet geïnformeerd te worden over het datalek als aangetoond kan worden dat geen gegevens te achterhalen zijn.
  • Belangrijk is dat elke bedrijf richting de AP moet kunnen aantonen dat men ‘in control’ is. De bedreigingen moeten in kaart gebracht worden, de kans dat de privacy van betrokkenen in het geding komt en wat daarvan de impact is.

Bovenstaande punten zijn maar een aantal zaken waar rekening mee gehouden moet worden. Gelukkig zijn er op het internet zoals bijvoorbeeld op de site van www.rijksoverheid.nl gedetailleerde handleidingen en checklists te vinden.

Succes met de voorbereiding op de AVG…

Bart Molendijk

 

 

 

Terug naar Actueel